elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Una mala configuración revela los datos de los empleados de Barracuda
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Una mala configuración revela los datos de los empleados de Barracuda  (Leído 1,367 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
Una mala configuración revela los datos de los empleados de Barracuda
« en: 25 Julio 2013, 13:43 pm »

El experto de seguridad Ebrahim Hegazy, también conocido como Zigoo0, ha detectado un fallo en los servidores de actualización de Barracuda que permite acceder a todos los credenciales de los trabajadores. Hegazy es un profesional en el sector de seguridad y ya ha reportado, de forma privada, la vulnerabilidad a los responsables de Barracuda.
 
A la hora de configurar un servidor, se puede establecer una segunda capa de autentificación. Esta segunda autentificación se realiza a través de los ficheros “htaccess” y “htpasswd”. Una correcta configuración de estos archivos permiten a los usuarios poder navegar por los directorios sin problema, pero colocando estos ficheros al alcance de todos, ponemos en peligro nuestro servidor, ya que en dichos archivos se guardan los usuarios y las contraseñas de los empleados que puedan acceder al servidor.
 
Para una correcta administración del servidor, el archivo htpasswd debe ubicarse en un directorio fuera del directorio web, por ejemplo, /credenciales/htpasswd. En el caso de Barracuda, el fichero de encontraba dentro del  mismo directorio web, por lo que podía ser visto por cualquiera.
 
El archivo “htpasswd” no se encuentra cifrado, por lo que si se obtiene acceso hasta él podremos acceder a todos los credenciales de acceso de manera similar a como le ha ocurrido a Barracuda.

http://www.redeszone.net/wp-content/uploads/2013/07/Barracuda_htpasswd.png

Hegazy reportó la vulnerabilidad dentro de un programa de recompensas por encontrar fallos de seguridad en los sistemas, pero para Barracuda, el programa de recompensas no se encuentra dentro del tipo de “divulgación de contraseñas”, por lo que ha quedado fuera de dicho programa.
 
Los administradores de sistema deben prestar más atención a este tipo de errores ya que puede costar valiosos datos a una empresa. ¿Qué hubiera pasado si en vez de un profesional como Hegazy lo hubiera descubierto un pirata informático que hubieran vendido los datos?

http://www.redeszone.net/2013/07/25/una-mala-configuracion-revela-los-datos-de-los-empleados-de-barracuda/


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
DanteInfernum

Desconectado Desconectado

Mensajes: 60


Ver Perfil
Re: Una mala configuración revela los datos de los empleados de Barracuda
« Respuesta #1 en: 25 Julio 2013, 22:02 pm »


 :D


En línea

ccrunch


Desconectado Desconectado

Mensajes: 1.050



Ver Perfil WWW
Re: Una mala configuración revela los datos de los empleados de Barracuda
« Respuesta #2 en: 26 Julio 2013, 01:27 am »


 :D
me encanta esta canción. también está en gta san andreas  ;D
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Backtrack 5 se desconecta cada x tiempo? mala configuracion o bug?
GNU/Linux
Synth3tik0 1 4,743 Último mensaje 5 Agosto 2011, 22:17 pm
por portaro
Una vulnerabilidad en iOS revela datos de los usuarios
Noticias
wolfbcn 0 1,753 Último mensaje 21 Septiembre 2012, 17:39 pm
por wolfbcn
problema con mis hd barracuda
Hardware
MatisS187 1 2,162 Último mensaje 6 Marzo 2015, 14:33 pm
por Orubatosu
MOVIDO: problema con mis hd barracuda
Dudas Generales
Songoku 0 1,587 Último mensaje 4 Marzo 2015, 11:30 am
por Songoku
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines